Utilización de redes neuronales para la detección de intrusos

La seguridad en los computadores ha sido estudiada como una disciplina desde 1970. Y se refiere a las medidas y controles que protegen los sistemas de información contra la negación de servicio y la ausencia de autorización (accidental o intencionadamente) para revelar, modificar, o destruir los sistemas de información y datos. Sin embargo, podemos entender como seguridad una característica de cualquier sistema, informático o no, que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible. Como esta característica, particularizando para el caso de sistemas operativos o redes de computadores, es muy difícil de conseguir, según la mayoría de estudios e investigaciones, imposible; se suaviza la definición de seguridad y se pasa a hablar de fiabilidad, como probabilidad de que un sistema se comporte tal y como se espera de él, más que de seguridad; por tanto, se
habla de sistemas fiables en lugar de hacerlo de sistemas seguros.

A grandes rasgos se entiende que mantener un sistema seguro, o fiable, consiste básicamente en garantizar tres aspectos: confidencialidad, integridad y disponibilidad.

¿Qué implica cada uno de los tres aspectos de los que hablamos?

La confidencialidad nos dice que los objetos de un sistema han de ser accedidos únicamente por elementos autorizados a ello, y que esos elementos autorizados no van a convertir esa información en disponible para otras entidades.
La integridad significa que los objetos sólo pueden ser modificados por elementos autorizados, y de una manera controlada.
La disponibilidad indica que los objetos del sistema tienen que permanecer accesibles a elementos autorizados; es el contrario de la negación de servicio.

Aunque, diferentes sistemas computadores pueden tener diferentes políticas de seguridad, se han desarrollado mecanismos de protección que incluyen la autenticación/identificación, encriptación, control de accesos, etc, cuyo objetivo es prevenir que usuarios no autorizados puedan comprometer la confidencialidad, integridad así como la disponibilidad de los sistemas protegidos. En consecuencia, estos mecanismos colectivamente son llamados técnicas de prevención.

Sin embargo, la comunidad científica dedicada a la seguridad de los sistemas computadores, se ha dado cuenta que las técnicas de prevención no son suficiente para proteger a los sistemas, tal y como se comprobó en 1988 con el gusano de Internet, y en el año 2000 con el llamado ataque Distributed Denial of Service (DDoS) [3] y [4] que paró la mayoría de los sitios comerciales, incluyendo Yahoo y la CNN que aunque estaban protegidos mediante técnicas de prevención.

Estos incidentes demostraron que las técnicas de prevención son inadecuadas, aunque la verdadera razón es que los
sistemas de información desarrollados no son infalibles, ya que pueden tener grietas en la implementación, así como fallos en el diseño.

La detección de intrusos fue propuesta como complemento de las técnicas de prevención. Una intrusión se define como una violación de la política de seguridad del sistema; la detección de intrusos de este modo se refiere a los mecanismos que hay desarrollados para detectar la violación de la política de seguridad de los sistemas, se basa pues, en asumir que la actividad intrusa es notablemente diferente de la actividad normal y, por lo tanto, se puede detectar. La detección de intrusos no se utiliza para remplazar las técnicas de prevención tales como la autenticación y el control de accesos, sino en combinación con las medidas de seguridad existentes para evitar las acciones que intentan puentear los sistemas de control en la seguridad. Por lo tanto, la detección de intrusos, se considera habitualmente como una segunda línea de defensa de las redes de computadores.

Debido a esta situación, tanto empresas como organismos se están concienciando de la necesidad de aplicar una mayor seguridad a sus sistemas informáticos. Es a partir de aquí donde este documento cobra vida, proponiendo una alternativa a las soluciones clásicas mediante el uso de redes neuronales, centrándonos en la red perceptrón multicapa y en el Mapa Auto Organizativo.

Intrusos la red

En el contexto de la seguridad informática, los intrusos en la red representan una amenaza significativa para la integridad y confidencialidad de los sistemas de información. Un intruso puede ser cualquier entidad no autorizada que busca acceder a recursos dentro de una red para realizar actividades maliciosas. Estas acciones pueden incluir el robo de datos, la interrupción de servicios o la instalación de software malicioso. La detección efectiva de intrusos es crucial para prevenir daños mayores y proteger la infraestructura digital.

El comportamiento de los intrusos en la red varía ampliamente, desde ataques simples y automatizados hasta infiltraciones sofisticadas y dirigidas. Los métodos de acceso no autorizado pueden incluir técnicas como el phishing, el escaneo de puertos, la explotación de vulnerabilidades y el uso de credenciales robadas. La capacidad de identificar y mitigar estas amenazas en tiempo real es esencial para mantener la seguridad de los sistemas y los datos sensibles.

Una de las principales dificultades en la detección de intrusos es la diferenciación entre el tráfico legítimo y el malicioso. Los intrusos a menudo intentan camuflar sus actividades para evadir los sistemas de seguridad tradicionales. Aquí es donde las redes neuronales pueden ofrecer una ventaja significativa. Al analizar patrones de tráfico y comportamiento, las redes neuronales pueden identificar anomalías que podrían indicar la presencia de un intruso, incluso si el ataque es sofisticado y sutil.

Las redes neuronales, con su capacidad de aprendizaje profundo, son particularmente efectivas para adaptarse a nuevas amenazas y cambiar patrones de ataque. A medida que los intrusos desarrollan tácticas más avanzadas, los sistemas de detección basados en redes neuronales pueden evolucionar para detectar y responder a estos nuevos métodos. Esto proporciona una capa adicional de seguridad que es dinámica y continuamente actualizada.

En resumen, la detección de intrusos en la red es un componente esencial de la seguridad cibernética moderna. Los métodos tradicionales de detección a menudo son insuficientes frente a las amenazas avanzadas y en constante evolución. Mediante la implementación de redes neuronales, las organizaciones pueden mejorar significativamente su capacidad para identificar y neutralizar intrusos, protegiendo así sus activos digitales y garantizando la continuidad operativa.

Sistema de detección de intrusos

Un sistema de detección de intrusos (IDS, por sus siglas en inglés) es una herramienta crucial en la seguridad informática que se encarga de monitorear y analizar el tráfico de red para identificar actividades sospechosas o maliciosas. Estos sistemas pueden detectar intentos de acceso no autorizado, explotación de vulnerabilidades y otros tipos de ataques cibernéticos que pueden comprometer la integridad, confidencialidad y disponibilidad de los datos. La capacidad de un IDS para identificar amenazas en tiempo real es esencial para implementar medidas de respuesta rápidas y efectivas.

Existen diferentes tipos de sistemas de detección de intrusos, entre los que se destacan los IDS basados en firmas y los IDS basados en anomalías. Los IDS basados en firmas funcionan mediante la comparación del tráfico de red con una base de datos de patrones conocidos de ataques, lo que permite la detección de amenazas conocidas. Por otro lado, los IDS basados en anomalías emplean técnicas avanzadas de análisis para identificar desviaciones del comportamiento normal de la red. Este enfoque es particularmente útil para detectar ataques desconocidos o variantes de ataques existentes.

La integración de redes neuronales en los sistemas de detección de intrusos ha revolucionado el campo de la ciberseguridad. Las redes neuronales, con su capacidad para aprender y generalizar a partir de grandes volúmenes de datos, pueden mejorar significativamente la precisión y eficiencia de los IDS. Mediante el entrenamiento en conjuntos de datos que incluyen tanto tráfico legítimo como tráfico malicioso, las redes neuronales pueden identificar patrones complejos y sutiles que podrían pasar desapercibidos con métodos tradicionales.

Además de mejorar la detección, el uso de redes neuronales también puede reducir la tasa de falsos positivos, un desafío común en los sistemas de detección de intrusos. Los falsos positivos, que ocurren cuando el IDS identifica incorrectamente un comportamiento legítimo como una amenaza, pueden consumir recursos y tiempo valiosos del equipo de seguridad. Gracias a su capacidad de aprendizaje continuo, las redes neuronales pueden adaptarse a cambios en el entorno de red y mejorar constantemente su precisión.

En conclusión, los sistemas de detección de intrusos son una herramienta esencial para proteger las redes informáticas frente a una amplia variedad de amenazas. La incorporación de redes neuronales en estos sistemas ofrece ventajas significativas, como una mayor precisión y una reducción en la tasa de falsos positivos. La combinación de técnicas tradicionales con tecnologías avanzadas permite a las organizaciones mantenerse un paso adelante en el siempre cambiante panorama de la ciberseguridad.

Fuente:

Utilización de redes neuronales para la detección de intrusos
Angel Grediaga1, Francisco Ibarra 1, Bernardo Ledesma1, Francisco Brotons1,
Departamento de Tecnología Informática y Computación. Universidad de Alicante.
USI:Tecnología Informática Avanzada. Apartado 99 Alicante 03080. Spain
gredi@dtic.ua.es
http://www.ua.es/tia

Si quieres conocer otros artículos parecidos a Utilización de redes neuronales para la detección de intrusos puedes visitar la categoría INTELIGENCIA ARTIFICIAL.